Php Eval(),what';重点是什么?
关于Php Eval(),what';重点是什么?,php,eval,Php,Eval,关于eval()作为函数的官方文档说: 除其他外,这对于将代码存储在数据库文本字段中以供以后执行非常有用 我对此感到非常困惑。PHP文档是否建议将PHP行存储到数据库中?什么?那不是很不安全吗 如果我知道数据库中有一个作为PHP执行的字符串呢?那不是非常危险吗?我只需要Sql注入就可以对该站点执行任何操作,我想做的任何操作。我可以删除整个数据库,我可以从脚本中获得一切,我可以做一切 这怎么会这么有帮助呢 你能给我举一些例子说明这个eval()是如何有用的吗? 另外,我可能遗漏了一些东西,为什么我
eval()eval()eval("if (is_int($int)) { return false }");
if (is_int($int)) { return false }
eval()你需要评估的理由很少。例如,如果我正在创建一个PHP测试站点,人们可以在该站点上输入一些代码,然后运行它。当然,出于您列出的原因,需要首先对其进行消毒。假设您有一个允许您键入PHP代码的CMS。我可以看到使用
eval撇开所有原因不谈,eval是非常不安全的。我同意永远不应该使用它 你可以吃类似的东西
$text = 'This is some random number: $number. Hello world!';
...
$number = 15;
...
eval ("\$replacedText = \"$text\";");
在eval中,$文本将被替换为“这是一个随机数:$number.Hello world!”,eval确保$number也被替换为15是的,这可能非常危险。我见过它使用的一个地方是一个系统,它允许对搜索屏幕进行非常复杂的配置,并允许用户保存搜索配置。搜索的详细信息保存为实际代码,作为eval执行。输入单独存储,并进行检查(在某种程度上,我不知道细节),以防止SQL注入。这是我唯一一次看到这样做,而且可能没有必要这样做(尽管我从来没有看到过足够的这个系统来确定)
eval()eval()eval()除此之外,它是一个危险的特性。事实上,它是不安全的,无论如何,您都必须清理代码 但是,其目的不是评估用户引入的表达式或任何其他方式(如从DB引入的表达式) 我发现当语言不提供元编程时,它是有用的。因此,例如,您需要用50个调用相同但方法名稍有不同的字段(例如数字)填充一个bean(假设它有field1()、field2()、field3()…等等),然后您可以在for中使用eval:将方法名构造为字符串,然后调用它
通过这种方式,你可以在5行代码中转换100行重复的代码,如果你想添加关于其工作原理的文档,还可以再转换几行。这不是不安全的,因为这里没有其他人接触你的代码。问得好。我不知道
eval()。但是我在听…这一点似乎已经深入到了地下,eval()
是不好的,我们明白了。好了,写了一个小脚本解析器,我可以证明eval有有效的用途。但除了边缘情况外,eval()只是include()的另一个名称,并不依赖于文件。eval是用来补充变量和直接处理sql字符串的。现在不想制造任何不公平或不平衡的东西!;-)总的来说,它在那里没关系。只是不要用它|那怎么办<代码>$text=str_replace(“$number”,“15”,“$text”)$numbereval()evaleval()